Η Apple διόρθωσε δύο zero-day ευπάθειες στο iOS που μπορεί να έχουν εκμεταλλευτεί από χάκερς για την παραβίαση παλαιότερων συσκευών iPhone, iPad και iPod. Οι δύο ευπάθειες – που παρακολουθούνται ως CVE-2021-30761 και CVE-2021-30762 – προκαλούνται από καταστροφή μνήμης και χρήση, μετά από προβλήματα που εντοπίστηκαν στη μηχανή του WebKit browser και αναφέρθηκαν από ανώνυμους ερευνητές.
Το WebKit είναι μια μηχανή browser που αναπτύχθηκε από την Apple και χρησιμοποιείται κυρίως στον Safari browser, καθώς και σε όλους τους iOS browsers και σε εφαρμογές, για την απόδοση περιεχομένου HTML σε πλατφόρμες desktop και mobile συσκευών, συμπεριλαμβανομένων των iOS, macOS, tvOS και iPadOS.
Διαβάστε επίσης: Apple Watch: Έρχεται ταχύτερο και με εξελιγμένους ιατρικούς αισθητήρες
Οι επιτιθέμενοι θα μπορούσαν να εκμεταλλευτούν τις δύο ευπάθειες, χρησιμοποιώντας κακόβουλο crafted web content, που θα προκαλούσε αυθαίρετη εκτέλεση κώδικα, αφού φορτωνόταν σε unpatched συσκευές.
Στις συσκευές που επηρεάζονται, περιλαμβάνονται παλαιότερα:
- iPhones (iPhone 5s, iPhone 6, iPhone 6 Plus)
- iPads (iPad Air, iPad mini 2, iPad mini 3)
- και το iPod touch (6ης γενιάς)
«Η Apple έλαβε μία αναφορά, σύμφωνα με την οποία αυτές οι ευπάθειες ενδέχεται να έχουν αξιοποιηθεί ενεργά από χάκερς”, δήλωσε η εταιρεία κατά την περιγραφή των δύο ευπαθειών του iOS 12.5.4.
Δείτε ακόμη: Το Face ID δεν αρκεί για την προστασία του iPhone: Τι άλλο πρέπει να κάνετε;
Από τον Μάρτιο, έχουμε δει πολυάριθμες zero-day ευπάθειες – εννέα εκ των οποίων παρουσιάζονται στις συμβουλευτικές ασφαλείας της Apple, ενώ οι περισσότερες από αυτές αναφέρθηκε ότι αξιοποιούνται σε επιθέσεις.
Τον περασμένο μήνα, η Apple κυκλοφόρησε ένα update για μία macOS zero-day ευπάθεια (CVE-2021-30713) που χρησιμοποιήθηκε από το XCSSET malware για την παράκαμψη των προστασιών TCC της Apple, οι οποίες έχουν σχεδιαστεί για να προστατεύουν το απόρρητο των χρηστών της εταιρείας.
Πρόταση: Πώς να συνδέσετε ένα χειριστήριο PS5 σε iPhone ή iPad
Η Apple διόρθωσε τρεις ακόμη zero-day ευπάθειες (CVE-2021-30663, CVE-2021-30665 και CVE-2021-30666) τον Μάιο, σφάλματα που εντοπίστηκαν στη μηχανή του Webkit, που επιτρέπουν την αυθαίρετη απομακρυσμένη εκτέλεση κώδικα (RCE) σε ευάλωτες συσκευές, απλά με την επίσκεψη κακόβουλων sites.
Ο τεχνολογικός κολοσσός κυκλοφόρησε επίσης updates ασφαλείας για την αντιμετώπιση μίας ακόμη iOS zero-day ευπάθειας (CVE-2021-1879) τον Μάρτιο, μίας zero-day στο iOS (CVE-2021-30661) και μίας macOS zero-day (CVE-2021-30657) τον Απρίλιο.
Η τελευταία ευπάθεια εκμεταλλεύτηκε από το Shlayer malware, για την παράκαμψη των ελέγχων ασφαλείας των Karantine, Gatekeeper και Notarization της Apple.
Πηγή πληροφοριών: bleepingcomputer.com